Performanceeinbußen durch dm-crypt
Jan Heitkötter
ich habe vor, meinen Rechner mit dm-crypt zu verriegen. Prinzipiell
schweben mir zwei Lösungen vor:
- Nur /home und das große Datengrab werden verschlüsselt, vielleicht
auch swap. Alles andere bleibt unverschlüsselt.
- Das komplette System wird verschlüsselt, d.h. auch / und nur /boot
bleibt unverschlüsselt. Anleitungen dafür gibt es ja im Netz.
Ich bin unsicher, für welche Option ich mich entscheiden soll, da
ich zumindest bei der zweiten Variante eine deutliche Verlangsamung des
Systems befürchte. Eine externe USB-Platte habe ich mit TrueCrypt
verriegelt; wenn ich dort Massendaten kopiere (Backupplatte) liegt die
CPU-Last bei 100% und das System (Athlon XP 1700+) reagiert recht träge.
Das brauche ich nicht dauerhaft, vor allem nicht wenn ein Killerspiel
(UT2k4) läuft.
Hat jemand Erfahrungswerte, ob und wie Verschlüsselung das System
verlangsamt bzw. subjektiv träger macht?
Danke & Gruß
Jan
L. Kliemann
> ich habe vor, meinen Rechner mit dm-crypt zu verriegen. Prinzipiell
> schweben mir zwei Lösungen vor:
> - Nur /home und das große Datengrab werden verschlüsselt, vielleicht
> auch swap. Alles andere bleibt unverschlüsselt.
Swap würde ich auf jeden Fall verschlüsseln.
> Ich bin unsicher, für welche Option ich mich entscheiden soll, da
> ich zumindest bei der zweiten Variante eine deutliche Verlangsamung des
> Systems befürchte. Eine externe USB-Platte habe ich mit TrueCrypt
> verriegelt; wenn ich dort Massendaten kopiere (Backupplatte) liegt die
> CPU-Last bei 100% und das System (Athlon XP 1700+) reagiert recht träge.
> Das brauche ich nicht dauerhaft, vor allem nicht wenn ein Killerspiel
> (UT2k4) läuft.
Was du da beobachtest, wird wohl eher am I/O auf dem USB-Port liegen.
Bei langsamen Rechnern merkt man die Verschlüsselung schon; bei Messungen,
die ich auf einem Dual-Core Centrino mit irgendwas knapp über 1 GHz mal
gemacht habe, nahmen sich hingegen verschlüsselter und unverschlüsselter
Modus kaum etwas. Allerdings habe ich damals die Default-Werte für die
Verschlüsselung bei cryptsetup-luks genommen. Heute nehme ich die stärkeren
Parameter aus den Tutorials, also in etwa:
-c aes-cbc-essiv:sha256 -s 256
Vielleicht wird es etwas langsamer dadurch, ich weiß es nicht. Probier's
einfach mal auf deinem System aus. Bevor du alles "richtig" einrichtest,
solltest du sowieso etwas mit den Werkzeugen (also cryptsetup) dich ver-
traut machen, und das geht durch Übung am besten.
Lasse
Andreas Dehmel
> Hallo zusammen,
>
> ich habe vor, meinen Rechner mit dm-crypt zu verriegen. Prinzipiell
> schweben mir zwei Lösungen vor:
>
> - Nur /home und das große Datengrab werden verschlüsselt, vielleicht
> auch swap. Alles andere bleibt unverschlüsselt.
>
> - Das komplette System wird verschlüsselt, d.h. auch / und nur /boot
> bleibt unverschlüsselt. Anleitungen dafür gibt es ja im Netz.
>
> Ich bin unsicher, für welche Option ich mich entscheiden soll, da
> ich zumindest bei der zweiten Variante eine deutliche Verlangsamung des
> Systems befürchte.
M.E. macht man irgendwas grundliegend falsch, wenn man sich genötigt
sieht, das System zu verschlüsseln. Sensible Daten haben da nichts
verloren. Home und swap definitiv, tmp m.E. nicht unbedingt, aber
da kann man sich streiten.
> Eine externe USB-Platte habe ich mit TrueCrypt
> verriegelt; wenn ich dort Massendaten kopiere (Backupplatte) liegt die
> CPU-Last bei 100% und das System (Athlon XP 1700+) reagiert recht träge.
> Das brauche ich nicht dauerhaft, vor allem nicht wenn ein Killerspiel
> (UT2k4) läuft.
Ich habe auf meinem alten Rechner (Athlon XP2200+) die Homepartition
verschlüsselt und das gibt deutliche Last. Auf meinem neuen Rechner (Athlon
X2 4600+) spüre ich davon dagegen so gut wie nichts. Das liegt wohl zum
einen am X64-optimierten AES-Modul und zum anderen am Dual Core. Umsonst
ist es definitiv nicht (wenn die Cipher was taugt). Ich würde aber
ungeachtet dessen nur Home und Swap verschlüsseln.
Andreas
--
Dr. Andreas Dehmel Ceterum censeo
FLIPME(ed.enilno-t@nouqraz) Microsoft esse delendam
http://www.zarquon.homepage.t-online.de (Cato the Much Younger)
L. Kliemann
> On Fri, 09 Mar 2007 18:35:17 +0100, Jan Heitkötter wrote:
>> ich habe vor, meinen Rechner mit dm-crypt zu verriegen. Prinzipiell
>> schweben mir zwei Lösungen vor:
>>
>> - Nur /home und das große Datengrab werden verschlüsselt, vielleicht
>> auch swap. Alles andere bleibt unverschlüsselt.
>>
>> - Das komplette System wird verschlüsselt, d.h. auch / und nur /boot
>> bleibt unverschlüsselt. Anleitungen dafür gibt es ja im Netz.
>>
>> Ich bin unsicher, für welche Option ich mich entscheiden soll, da
>> ich zumindest bei der zweiten Variante eine deutliche Verlangsamung des
>> Systems befürchte.
>
> M.E. macht man irgendwas grundliegend falsch, wenn man sich genötigt
> sieht, das System zu verschlüsseln. Sensible Daten haben da nichts
> verloren. Home und swap definitiv, tmp m.E. nicht unbedingt, aber
> da kann man sich streiten.
/tmp auf jeden Fall, oder fragen wir mal so: warum swap, wenn nicht /tmp?
Auch /var/tmp sollte man verschlüsseln, weil dort manche Mailprogramme die
Entwürfe ablegen. Ferner kommen noch Druckerspools (wohl /var/spool/...) in
Frage.
Unter ganz bestimmten Bedingungen kann man sich auch überlegen, die
SSH-Hostkeys auf verschlüsselte Bereiche zu legen. Bestimmt gibt es noch
Weiteres dieser Art.
Lasse
Andreas Dehmel
> * Andreas Dehmel <blackhole....@spamgourmet.com>:
> > On Fri, 09 Mar 2007 18:35:17 +0100, Jan Heitkötter wrote:
>
> >> ich habe vor, meinen Rechner mit dm-crypt zu verriegen. Prinzipiell
> >> schweben mir zwei Lösungen vor:
> >>
> >> - Nur /home und das große Datengrab werden verschlüsselt, vielleicht
> >> auch swap. Alles andere bleibt unverschlüsselt.
> >>
> >> - Das komplette System wird verschlüsselt, d.h. auch / und nur /boot
> >> bleibt unverschlüsselt. Anleitungen dafür gibt es ja im Netz.
> >>
> >> Ich bin unsicher, für welche Option ich mich entscheiden soll, da
> >> ich zumindest bei der zweiten Variante eine deutliche Verlangsamung des
> >> Systems befürchte.
> >
> > M.E. macht man irgendwas grundliegend falsch, wenn man sich genötigt
> > sieht, das System zu verschlüsseln. Sensible Daten haben da nichts
> > verloren. Home und swap definitiv, tmp m.E. nicht unbedingt, aber
> > da kann man sich streiten.
>
> /tmp auf jeden Fall, oder fragen wir mal so: warum swap, wenn nicht /tmp?
Weil m.E. ein Programm, das potentiell sensible Daten nach /tmp speichert,
einen ziemlich fundamentalen Denkfehler hat, bei dem ich mich ernsthaft
fragen würde, ob ich das Programm wirklich benutzen will (wenn das nicht
mal konfigurierbar ist). Bei Mailprogrammen z.B. speichert Sylpheed(-Claws)
die Entwürfe in ~/.sylpheed/tmp und so sollte das auch sein, daher sehe
ich mich absolut nicht dazu genötigt, /tmp auch noch zu verschlüsseln.
> Auch /var/tmp sollte man verschlüsseln, weil dort manche Mailprogramme die
> Entwürfe ablegen. Ferner kommen noch Druckerspools (wohl /var/spool/...) in
> Frage.
Stimmt, Teile von /var und evtl. /etc kann man sich noch überlegen, aber auch
das hat mit Systemverschlüsselung nicht das geringste zu tun -- das wäre
ein verschlüsseltes / mit allem darunter außer /boot und da schießt man definitiv
mit Kanonen auf Spatzen. Eine zusätzliche Partition für diese (verschwindend
geringen) Teile des Systems, die sensible Daten enthalten könnten (oder dieselbe
Partition mit dem verschlüsselten Home), reicht völlig. Wozu gibt's symbolische
Links?
Jan Heitkötter
[...]
Danke für eure Kommentare. Zielsetzung ist, meine persönlichen Daten
(Mails, Digifotos usw.) für den Fall zu schützen, dass jemand in die
Wohnung einbricht und den PC klaut. Da mein Rechner doch gut abgehangen
ist werde ich wohl nur den minimalen Umfang verschlüsseln, d.h. /home und
Datengrab.
Schönen Restsonntag
Jan